Konfigurace bran VPN typu aktivní-aktivní pomocí portálu

  • Článek

Tento článek vám pomůže vytvořit brány VPN s vysokou dostupností aktivní-aktivní pomocí modelu nasazení Resource Manager a webu Azure Portal. Bránu aktivní-aktivní můžete nakonfigurovat také pomocí PowerShellu.

Pokud chcete dosáhnout vysoké dostupnosti pro připojení mezi různými místy a připojení typu VNet-to-VNet, měli byste nasadit několik bran VPN a vytvořit několik paralelních připojení mezi vašimi sítěmi a Azure. Přehled možností připojení a topologie najdete v tématu Vysoce dostupné mezi místními sítěmi a možnostmi připojení typu VNet-to-VNet.

Důležité

Režim aktivní-aktivní je k dispozici pro všechny skladové položky s výjimkou Basic nebo Standard. Nejnovější informace o SKU brány, výkonu a podporovaných funkcích najdete v článku o skladových pocích brány. Pro tuto konfiguraci se vyžadují veřejné IP adresy skladové položky Standard. Nemůžete použít veřejnou IP adresu skladové položky Basic.

Kroky v tomto článku vám pomůžou nakonfigurovat bránu VPN v režimu aktivní-aktivní. Mezi režimy aktivní-aktivní a aktivní-pohotovostní režim existuje několik rozdílů. Ostatní vlastnosti jsou stejné jako brány bez aktivní-aktivní.

  • Brány aktivní-aktivní mají dvě konfigurace IP adres brány a dvě veřejné IP adresy.
  • Brány aktivní-aktivní mají povolené nastavení aktivní-aktivní.
  • Skladová položka brány virtuální sítě nemůže být Basic ani Standard.

Pokud už máte bránu VPN, můžete existující bránu VPN aktualizovat z aktivního pohotovostního režimu na režim aktivní-aktivní nebo z aktivní-aktivní-aktivní na aktivní-pohotovostní režim.

Vytvoření virtuální sítě

Pokud ještě nemáte virtuální síť, kterou chcete použít, vytvořte virtuální síť pomocí následujících hodnot:

  • Skupina prostředků: TestRG1
  • Název: VNet1
  • Oblast: USA – východ
  • Adresní prostor IPv4: 10.1.0.0/16
  • Název podsítě: FrontEnd
  • Adresní prostor podsítě: 10.1.0.0/24

  1. Přihlaste se k portálu Azure.

  2. Do části Hledat prostředky, služby a dokumenty (G+/) v horní části stránky portálu zadejte virtuální síť. Výběrem možnosti Virtuální síť z výsledků hledání na Marketplace otevřete stránku virtuální sítě .

  3. Na stránce Virtuální síť vyberte Vytvořit a otevřete stránku Vytvořit virtuální síť.

  4. Na kartě Základy nakonfigurujte nastavení virtuální sítě pro podrobnosti projektu a podrobnosti instance. Po ověření hodnot, které zadáte, se zobrazí zelená značka zaškrtnutí. Hodnoty zobrazené v příkladu můžete upravit podle požadovaných nastavení.

    Snímek obrazovky znázorňující kartu Základy

    • Předplatné: Zkontrolujte, jestli je uvedeno správné předplatné. Předplatná můžete změnit pomocí rozevíracího seznamu.
    • Skupina prostředků: Vyberte existující skupinu prostředků nebo vyberte Vytvořit novou a vytvořte novou. Další informace o skupinách prostředků najdete v tématu Přehled Azure Resource Manageru.
    • Název: Zadejte název své virtuální sítě.
    • Oblast: Vyberte umístění pro vaši virtuální síť. Umístění určuje, kde se budou nacházet prostředky, které do této virtuální sítě nasadíte.

  5. Výběrem možnosti Další nebo Zabezpečení přejděte na kartu Zabezpečení. Pro toto cvičení ponechte výchozí hodnoty pro všechny služby na této stránce.

  6. Vyberte IP adresy , abyste přešli na kartu IP adresy . Na kartě IP adresy nakonfigurujte nastavení.

    • Adresní prostor IPv4: Ve výchozím nastavení se automaticky vytvoří adresní prostor. Můžete vybrat adresní prostor a upravit ho tak, aby odrážel vaše vlastní hodnoty. Můžete také přidat jiný adresní prostor a odebrat výchozí vytvořený automaticky. Můžete například zadat počáteční adresu jako 10.1.0.0 a zadat velikost adresního prostoru jako /16. Pak vyberte Přidat a přidejte tento adresní prostor.

    • + Přidat podsíť: Pokud použijete výchozí adresní prostor, vytvoří se výchozí podsíť automaticky. Pokud změníte adresní prostor, přidejte do daného adresního prostoru novou podsíť. Výběrem + Přidat podsíť otevřete okno Přidat podsíť . Nakonfigurujte následující nastavení a pak výběrem možnosti Přidat v dolní části stránky přidejte hodnoty.

      • Název podsítě: Příkladem je FrontEnd.
      • Rozsah adres podsítě: Rozsah adres pro tuto podsíť. Příklady jsou 10.1.0.0 a /24.

  7. Zkontrolujte stránku IP adres a odeberte všechny adresní prostory nebo podsítě, které nepotřebujete.

  8. Výběrem možnosti Zkontrolovat a vytvořit ověřte nastavení virtuální sítě.

  9. Po ověření nastavení vyberte Vytvořit a vytvořte virtuální síť.

Vytvoření brány VPN typu aktivní-aktivní

V tomto kroku vytvoříte pro virtuální síť bránu virtuální sítě aktivní-aktivní (bránu VPN). Vytvoření brány může obvykle trvat 45 minut nebo déle, a to v závislosti na vybrané skladové jednotce (SKU) brány.

Vytvořte bránu virtuální sítě pomocí následujících hodnot:

  • Název: VNet1GW
  • Oblast: USA – východ
  • Typ brány: Síť VPN
  • Typ sítě VPN: Založená na trasách
  • SKU: VpnGw2
  • Generování: Generace 2
  • Virtuální síť: VNet1
  • Rozsah adres podsítě brány: 10.1.255.0/27
  • Veřejná IP adresa: Vytvoření nové
  • Název veřejné IP adresy: VNet1GWpip

  1. V části Hledat prostředky, služby a dokumenty (G+/) zadejte bránu virtuální sítě. Ve výsledcích hledání na Marketplace vyhledejte bránu virtuální sítě a vyberte ji, aby se otevřela stránka Vytvořit bránu virtuální sítě.

  2. Na kartě Základy vyplňte hodnoty podrobností projektu a podrobnosti instance.

    Snímek obrazovky znázorňující pole Instance

    • Předplatné: V rozevíracím seznamu vyberte předplatné, které chcete použít.

    • Skupina prostředků: Toto nastavení se automaticky vyplňuje, když na této stránce vyberete virtuální síť.

    • Název: Zadejte pro bránu název. Pojmenování brány není stejné jako pojmenování podsítě brány. Jedná se o název objektu brány, který vytváříte.

    • Oblast: Vyberte oblast, ve které chcete tento prostředek vytvořit. Oblast brány musí být stejná jako virtuální síť.

    • Typ brány: Vyberte VPN. Brány VPN používají bránu virtuální sítě typu VPN.

    • Skladová položka: V rozevíracím seznamu vyberte skladovou položku brány, která podporuje funkce, které chcete použít. Viz skladové položky brány. Na portálu závisí skladové položky dostupné v rozevíracím seznamu na VPN type vybraném místě. Skladovou položku Basic je možné nakonfigurovat jenom pomocí Azure CLI nebo PowerShellu. Skladovou položku Basic nemůžete nakonfigurovat na webu Azure Portal.

    • Generování: Vyberte generaci, kterou chcete použít. Doporučujeme použít skladovou položku Generation2. Další informace najdete v části Skladové jednotky (SKU) brány.

    • Virtuální síť: V rozevíracím seznamu vyberte virtuální síť, do které chcete tuto bránu přidat. Pokud nevidíte virtuální síť, pro kterou chcete vytvořit bránu, ujistěte se, že jste v předchozím nastavení vybrali správné předplatné a oblast.

    • Rozsah adres podsítě brány nebo podsíť: Podsíť brány se vyžaduje k vytvoření brány VPN.

      V tuto chvíli může toto pole zobrazovat různé možnosti nastavení v závislosti na adresní prostoru virtuální sítě a na tom, jestli jste pro virtuální síť už vytvořili podsíť s názvem GatewaySubnet .

      Pokud nemáte podsíť brány a nevidíte možnost vytvořit ji na této stránce, vraťte se do své virtuální sítě a vytvořte podsíť brány. Pak se vraťte na tuto stránku a nakonfigurujte bránu VPN.

  1. Zadejte hodnoty veřejné IP adresy. Tato nastavení určují objekt veřejné IP adresy, který se přidružuje k bráně VPN. Při vytváření objektu veřejné IP adresy se k objektu přiřadí IP adresa. Objekt veřejné IP adresy se pak přidružuje k bráně. U bran, které nejsou zónově redundantní, je jediný čas, kdy se veřejná IP adresa změní, když se brána odstraní a znovu vytvoří. V případě změny velikosti, resetování nebo jiné operace údržby/upgradu vaší brány VPN se nezmění. Musíte přidružit objekt veřejné IP adresy, který používá skladovou položku Standard . Objekt veřejné IP adresy základní skladové položky je podporován pouze pro brány VPN úrovně Basic.

    Snímek obrazovky s polem veřejné IP adresy

    • Veřejná IP adresa: Ponechte vybranou možnost Vytvořit novou .
    • Název veřejné IP adresy: Do textového pole zadejte název vaší instance veřejné IP adresy.
    • Přiřazení: Statická je vybrána automaticky.
    • Povolit režim aktivní-aktivní: Vyberte Povoleno.
    • Druhá veřejná IP adresa: Vyberte Vytvořit novou.
    • Název veřejné IP adresy: Pojmenujte druhou veřejnou IP adresu.
    • Pokud konfigurace výslovně nevyžaduje toto nastavení, ponechejte nakonfigurovaný protokol BGP jako zakázaný. Pokud toto nastavení vyžadujete, je výchozí ASN 65515, ale můžete použít i jiné sítě ASN.

  2. Pokud chcete spustit ověření, vyberte Zkontrolovat a vytvořit .

  3. Jakmile ověření projde, vyberte Vytvořit a nasaďte bránu VPN.

Stav nasazení můžete zobrazit na stránce Přehled vaší brány. Po vytvoření brány můžete zobrazením virtuální sítě na portálu zobrazit IP adresu, která jí byla přiřazena. Brána se zobrazí jako připojené zařízení.

Důležité

Při práci s podsítěmi brány se vyhněte přidružení skupiny zabezpečení sítě (NSG) k podsíti brány. Přidružení skupiny zabezpečení sítě k této podsíti může způsobit, že brána virtuální sítě (brány VPN a Brány ExpressRoute) přestanou fungovat podle očekávání. Další informace o skupinách zabezpečení sítě najdete v tématu Co je skupina zabezpečení sítě?.

Aktualizace existující brány VPN

Tato část vám pomůže změnit existující bránu Azure VPN z aktivního pohotovostního režimu na aktivní-aktivní režim a z aktivní-aktivní-aktivní na aktivní-pohotovostní režim. Když změníte aktivní-pohotovostní bránu na aktivní-aktivní, vytvoříte další veřejnou IP adresu a pak přidáte druhou konfiguraci IP adresy brány.

Změna aktivního pohotovostního režimu na aktivní-aktivní

Pomocí následujícího postupu převeďte bránu v režimu aktivní-pohotovostní režim na režim aktivní-aktivní. Pokud byla vaše brána vytvořená pomocí modelu nasazení Resource Manager, můžete skladovou položku upgradovat také na této stránce.

  1. Přejděte na stránku brány virtuální sítě.

  2. V nabídce vlevo vyberte Konfigurace.

  3. Na stránce Konfigurace nakonfigurujte následující nastavení:

    • Změňte režim aktivní-aktivní na Povoleno.
    • Kliknutím na Přidat novou přidáte další veřejnou IP adresu. Pokud už máte IP adresu, kterou jste dříve vytvořili, která je k dispozici pro dedikaci tohoto prostředku, můžete ji místo toho vybrat z rozevíracího seznamu DRUHÁ VEŘEJNÁ IP ADRESA .

    Snímek obrazovky znázorňující stránku Konfigurace s povoleným režimem aktivní-aktivní

  4. Na stránce Zvolit veřejnou IP adresu a buď zadejte existující veřejnou IP adresu, která splňuje kritéria, nebo vyberte +Vytvořit novou a vytvořte novou veřejnou IP adresu, která se má použít pro druhou instanci brány VPN. Po zadání druhé veřejné IP adresy klikněte na TLAČÍTKO OK.

  5. V horní části stránky Konfigurace klikněte na Uložit. Dokončení této aktualizace může trvat přibližně 30 až 45 minut.

Důležité

Pokud máte spuštěné relace protokolu BGP, mějte na paměti, že se změní konfigurace protokolu BGP služby Azure VPN Gateway a v rozsahu adres podsítě brány se zřídí dvě nově přiřazené IP adresy protokolu BGP. Stará IP adresa protokolu BGP služby Azure VPN Gateway již neexistuje. Dojde k výpadku a aktualizaci partnerských uzlů protokolu BGP na místních zařízeních bude potřeba. Po dokončení zřizování brány je možné získat nové IP adresy protokolu BGP a konfigurace místního zařízení se bude muset odpovídajícím způsobem aktualizovat. To platí pro IP adresy protokolu BGP jiného typu než APIPA. Informace o konfiguraci protokolu BGP v Azure najdete v tématu Postup konfigurace protokolu BGP ve službě Azure VPN Gateway.

Změna aktivní-aktivní na aktivní-pohotovostní režim

Pomocí následujícího postupu převeďte bránu v režimu aktivní-aktivní na režim aktivní-pohotovostní.

  1. Přejděte na stránku brány virtuální sítě.

  2. V nabídce vlevo vyberte Konfigurace.

  3. Na stránce Konfigurace změňte režim aktivní-aktivní na Zakázáno.

  4. V horní části stránky Konfigurace klikněte na Uložit.

Důležité

Pokud máte spuštěné relace protokolu BGP, mějte na paměti, že konfigurace protokolu BGP služby Azure VPN Gateway se změní ze dvou IP adres protokolu BGP na jednu adresu protokolu BGP. Platforma obecně přiřazuje poslední použitelnou IP adresu podsítě brány. Dojde k výpadku a aktualizaci partnerských uzlů protokolu BGP na místních zařízeních bude potřeba. To platí pro IP adresy protokolu BGP jiného typu než APIPA. Informace o konfiguraci protokolu BGP v Azure najdete v tématu Postup konfigurace protokolu BGP ve službě Azure VPN Gateway.

Další kroky

Informace o konfiguraci připojení najdete v následujících článcích: